Nouvelles fonctionnalités et améliorations de SNS 4.7.1 EA
Classification d'URL Extended Web Control (EWC)
La classification d'URL Extended Web Control utilise désormais la base d'URL du fournisseur Bitdefender.
Pour mettre en place une politique de filtrage d'URL / filtrage SSL, il est recommandé de travailler en mode "liste noire", c'est-à-dire de positionner explicitement les catégories d'URL à interdire dans des règles de filtrage d'URL / filtrage SSL avec l'action bloquer. Ces règles sont à placer au-dessus de la règle autorisant toutes les autres catégories.
Dans le cadre de la mise à jour en version SNS 4.7.1 ou supérieure d'un firewall utilisant une politique de filtrage d'URL / filtrage SSL en mode "liste blanche" (règles de filtrage autorisant explicitement certaines catégories et placées au-dessus de la règle bloquant toutes les autres catégories), il est fortement recommandé d'ajouter une règle autorisant les catégories d'URL misc (Divers), unknown (Inconnu), computersandsoftware (Sites de téléchargement de logiciels) et hosting (Hébergement de sites Web) pour éviter un risque de dégradation de l’expérience utilisateur. Cette règle est à placer au-dessus de la règle bloquant toutes les autres catégories.
Pour plus d'informations sur la migration d'une politique de filtrage d'URL / filtrage SSL lors de la mise à jour du firewall en version SNS 4.7 ou supérieure, veuillez consulter la Note Technique Migrer une politique de sécurité vers la nouvelle base d'URL EWC.
IPsec DR - Génération des Certificate Request Payload
Le référentiel IPsec DR de l'ANSSI demande de remplacer l'algorithme utilisé dans la génération des Certificate Request Payload par le SHA2 (anciennement SHA1).
Les versions SNS 4.7 et supérieures et les versions SNS 4.3 LTSB (à partir de la version 4.3.21 LTSB) respectent cette recommandation.
Si le mode IPsec DR est activé sur un firewall SNS en version 4.7, la négociation de tunnels VPN est possible uniquement avec des correspondants respectant cette recommandation.
Ainsi, pour que la négociation de tunnels VPN en mode IPsec DR continue de fonctionner après la mise à jour d'un firewall SNS en version 4.7, vous devrez vous assurer que l'ensemble des correspondants compatibles IPsec DR de votre architecture respectent cette recommandation :
- Pour des firewalls SNS, vous devrez tous les mettre à jour dans une version SNS respectant cette recommandation,
- Pour des firewalls d'un autre fournisseur, rapprochez-vous au préalable de ce dernier pour plus d'informations,
- Pour des clients VPN Exclusive Stormshield, vous devrez vous assurer que chaque client VPN est en version 7.4.018 ou supérieure et y configurer des paramètres supplémentaires. Pour plus d'informations, reportez-vous à la Note Technique VPN IPsec - Mode Diffusion Restreinte.
- Pour tout autre client VPN, rapprochez-vous au préalable de l'éditeur du logiciel concerné pour plus d'informations.
Méthode d'authentification Agent TS (authentification Citrix / RDS)
La version SNS 4.7 introduit une méthode d'authentification transparente multi-utilisateurs destinée aux infrastructures de postes virtuels (Virtual Desktop Infrastructure - VDI) : la méthode Agent TS.
Cette méthode repose sur des échanges entre le firewall SNS et un ou plusieurs agents nommés SN TS Agent déployés directement sur les serveurs VDI (Citrix Virtual Apps and Desktops ou Microsoft Remote Desktop Services).
Un firewall SNS peut gérer jusque 100 Agents TS.
Pour plus d'informations, reportez-vous à la Note Technique SN TS Agent - Installation et déploiement.
VPN SSL - Performances accrues
La version SNS 4.7 permet d'établir simultanément un nombre plus important de tunnels VPN SSL sur certains modèles de firewalls. Le débit de données transitant dans chaque tunnel VPN SSL a également été augmenté.
| Nombre de connexions VPN SSL UDP simultanés | ||
| Modèle | Avant SNS v4.7 | SNS v4.7 |
| SN510 | 100 | 100 |
| SN710 | 150 | 150 |
| SN-M-Series-720 | 300 | 300 |
| SN910 | 150 | 500 |
| SN-M-Series-920 | 500 | 500 |
| SN1100 | 500 | 800 |
| SN2100 | 400 | 1000 |
| SN3100 | 500 | 1000 |
| SN6100 | 500 | 1000 |
VPN IPsec - Méthodes Diffie-Hellman obsolètes
Certaines méthodes Diffie-Hellman étant obsolètes (et indiquées comme telles dans l'onglet Profil de chiffrement du module VPN IPsec), il est conseillé aux administrateurs de modifier leur configuration VPN IPsec si celle-ci les utilise.
Ces méthodes sont les suivantes :
- DH1 MODP Group (768-bits),
- DH2 MODP Group (1024-bits),
- DH5 MODP Group (1536-bits),
- DH25 NIST Elliptic Curve Group (192-bits),
- DH26 NIST Elliptic Curve Group (224-bits),
- DH27 Brainpool Elliptic Curve Group (224-bits).
Active Update hors ligne
La version SNS 4.7 introduit la possibilité de mettre à jour depuis l'interface Web d'administration les différentes bases de sécurité à l'aide d'un unique pack de mises à jour téléchargé depuis votre espace client MyStormshield.
La date des dernières mises à jour de bases de sécurité réalisées hors ligne ou en ligne via Active Update est désormais affichée dans le widget Active Update du module de Supervision système. Un message d'avertissement vous indique également lorsque la dernière mise à jour d'une base est trop ancienne.
Plus d'informations sur Active Update hors ligne.
Catégorie Web "URL compromises"
Une catégorie "URL compromises" a été ajoutée aux modules Filtrage URL et Filtrage SSL afin de permettre le blocage d'URL malveillantes lorsque le filtrage d'URL / Filtrage SSL sont utilisés dans les règles de filtrage.
Cette catégorie, mise à jour en permanence par les équipes de sécurité Stormshield afin de vous offrir une sécurité accrue, est récupérable via Active Update (hors ligne / en ligne).
Logs - Informations complémentaires sur les adresses IP ou domaines bloqués
Lorsqu'une communication avec une adresse IP ou un domaine malveillant est bloquée, les logs proposent désormais un lien direct vers des informations complémentaires hébergées sur le portail Stormshield Security.
TPM - Sécurisation possible de toutes les clés privées
A compter de la version SNS 4.7, pour les firewalls disposant d'un TPM, toutes les clés privées de certificats peuvent être sécurisées avec le module TPM. Cette fonctionnalité était jusqu'ici limitée aux certificats utilisés pour l'authentification dans le cadre du VPN IPsec.
Désormais, cette méthode de sécurisation peut également s'appliquer aux certificats utilisés notamment dans les cas suivants :
- Déchiffrement SSL/TLS,
- Communication entre firewalls SNS et serveurs SMC,
- Envois de logs vers un serveur syslog,
- VPN SSL,
- LDAP interne.
Plus d'informations sur la sécurisation des clés privées par le TPM.
NOTE
Après la mise à jour d'un firewall en version SNS 4.7.1, si le TPM était déjà initialisé et des certificats déjà protégés, un message sur le tableau de bord peut indiquer à tort que le TPM n’a pas été initialisé ou que les mises à jour automatiques ne sont pas protégées par mot de passe.
Pour résoudre ce problème, vous devez protéger les certificats utilisés dans la configuration du firewall et qui ne sont pas encore protégés avec le TPM. Pour cela, utilisez la commande CLI / Serverd "MONITOR CERT" pour afficher les certificats concernés puis protégez-les dans le module Configuration > Objets > Certificats et PKI.
Routage statique
Le mot-clé blackhole peut désormais être sélectionné comme :
- Passerelle dans la définition d'une route statique,
- Passerelle par défaut du firewall.
Plus d'informations sur l'utilisation du mot clé blackhole
Sécurité accrue
VPN SSL
Référence support 84357
La compression LZ4 n'est plus activée dans la configuration par défaut du VPN SSL. Ceci n'impacte pas les configurations existantes.
Intégration
Qualité de service (QoS)
La version SNS 4.7 introduit le support de la QoS sur les interfaces de type PPPoE et PPTP.
Sauvegardes automatiques
Il est désormais possible de sélectionner l'interface réseau utilisée pour se connecter aux serveurs de sauvegardes automatiques (serveurs personnalisés et serveurs Stormshield Cloud backup).
Cloud Amazon Web Services
Depuis la version SNS 4.7, les instances Stormshield Elastic Virtual Appliances (EVA) déployées dans le cloud Amazon Web Services peuvent utiliser les interfaces Elastic Network Adapters (ENA).
Politique VPN IPsec nomades en mode config
Il est désormais possible de sélectionner un groupe de réseaux en tant que réseau local lors de la création ou la modification d'une politique IPsec nomade en mode config.
Notez que l'utilisation du client Stormshield IPsec VPN ou du client VPN TheGreenBow impose que ce groupe ne contienne pas plus de 8 réseaux / routes.
Protections applicatives
Il est désormais possible de rechercher les protections IPS à l'aide de leur identifiant.
Indicateur de santé - Serveurs NTP
Un indicateur de santé concernant les serveurs NTP a été ajouté au Tableau de bord ainsi qu'au module de Supervision Système.
Cet indicateur permet notamment :
- De mettre en avant un défaut ou une anomalie de réponse d'un serveur NTP configuré sur le firewall,
- De signaler l'absence de configuration NTP lorsqu'un service activé sur le firewall nécessite une attention particulière sur la synchronisation de temps pour fonctionner correctement (exemple : authentification TOTP).
Rechargement programmé des règles de filtrage
Référence support 81691
Le rechargement programmé des règles de filtrage (commande enfilter -u déclenchée chaque jour à minuit) peut désormais être désactivé en affectant la valeur 0 au jeton de configuration DailyRefresh présent dans la section [Global] du fichier de configuration ConfigFiles/Filter/filter.
SD-WAN
Des optimisations ont été apportées au mécanisme de gestion des priorités des passerelles afin d'éviter des rechargements inutiles de la route par défaut lorsque les passerelles présentent des scores de priorité proches.
Le dépassement d'un seuil SLA d'une passerelle génère systématiquement une entrée dans le fichier de logs système.
Supervision SD-WAN
Un onglet "Graphe temps réel" permet d'afficher, pour une passerelle sélectionnée, les deux graphes suivants :
- La latence de la passerelle, mesurée lors des 10 dernières minutes,
- L'état de la passerelle sur la même période.
Haute disponibilité
Synchronisation Unicast
Il est désormais possible de définir une synchronisation Unicast entre les membres d'un cluster lors de sa création. Cette option est nécessaire pour déployer la haute disponibilité dans une infrastructure Cloud ne supportant pas le protocole Multicast.
Synchronisation des adresses MAC
Il est désormais possible de choisir si la synchronisation des adresses MAC doit être forcée lors d'une bascule du cluster (module Haute Disponibilité > Configuration avancée > option Forcer la synchronisation des adresses MAC).
Pour les machines virtuelles (EVA) déployées en version 4.7 ou supérieure et configurées en haute disponibilité, cette synchronisation est à présent désactivée par défaut. Pour les firewalls physiques en configuration d'usine, cette synchronisation reste activée par défaut.
Il peut être nécessaire de désactiver cette option dans des configurations utilisant les agrégats de liens (LACP) par exemple.